- •Введение. Общая характеристика курса Теория информационной безопасности и методология защиты информации: Основные разделы курса:
- •Последующие курсы:
- •Список литературы:
- •Периодическая литература:
- •1 Математические основы теории информации.
- •Основные свойства вероятностей:
- •Случайные величины.
- •2 Научная терминология (базовые понятия)
- •Необходимыми признаками теории являются:
- •Структура теории:
- •3 Ценность информации.
- •Решетка подмножеств X.
- •Mls решетка
- •4 Роль и место информационных ресурсов в современной жизни
- •Литература:
- •5 Информационные ресурсы. Новые технологии
- •Особенности информационных ресурсов:
- •Новые информационные технологии
- •6 Безопасность информации. Информационная безопасность
- •Литература:
- •Требования к информации с точки зрения ее безопасности
- •Литература:
- •7 Концепция информационной безопасности России
- •8 Этапы развития концепции обеспечения безопасности информации
- •Классификация защищаемой информации по характеру сохраняемой тайны Литература:
- •Литература:
- •Конфиденциальная информация.
- •10 Угрозы безопасности информации. Обобщенная модель нарушения защищенности информации. Примеры конкретных видов угроз. Требования к информации с точки зрения её безопасности (доступа к ней)
- •Угрозы безопасности информации (опасности).
- •Общая модель процесса нарушения защищенности информации:
- •Классификация угроз безопасности данных
- •Характеристика конкретного вида опасности (угрозы)
- •Угрозы информации
- •Угрозы Секретности
- •Угрозы Целостности
- •Модели общей оценки угроз информации
- •Методика вычисления показателей защищённости информации.
- •Анализ опасностей
- •Ряд других нерешенных проблем в dea, обнаруженных gao:
- •13 Компьютерные преступления
- •Литература:
- •14 Цели и особенности моделирования процессов и систем защиты информации Особенности проблем зи:
- •Классификация моделей процессов и систем зи:
- •15 Модель наиболее опасного поведения потенциального нарушителя (злоумышленника)
- •Основные задачи злоумышленника в информационной борьбе:
- •Модели защиты информации от несанкционированного доступа
- •Модели систем разграничения доступа к ресурсам асод
- •Литература:
- •16 Определение базовых показателей уязвимости (защищенности) информации:
- •Определение обобщенных показателей уязвимости:
- •Анализ показателей защиты (уязвимости) многоуровневой сзи
- •19 Политика безопасности
- •Определение политики безопасности
- •19,23,25 Язык описания политик безопасности
- •Модель Белла и Лападулла
- •20 Дискреционная политика
- •21 Матричная модель
- •22 Многоуровневые политики. Метка безопасности. Разрешенные информационные потоки. Политика mls
- •24 Модель Диона Субъекты в модели Диона
- •Объекты в модели Диона
- •Условия образования информационных каналов
- •Литература
- •25 Политика целостности Biba
- •1. Вступление
- •2 Причины возникновения
- •3. Роли и соответствующие понятия
- •4. Семейство базовых моделей
- •4.1 Базовая модель
- •4.2 Иерархии ролей
- •4.3. Ограничения
- •4.4 Сводная модель
- •5. Модели управления
- •6. Заключение
- •Литература
- •29 Анализ и управление риском Понятие риска. Принципы управления риском
- •Определение системных ценностей (assets)
- •Ожидаемые годовые потери (Annual Loss Expectancy)
- •Управление риском (risk management)
- •Выбор мер обеспечения безопасности (safeguard selection)
- •Вычисление показателя степени риска
- •Анализ опасностей
- •Элементы анализа степени риска:
- •Управление риском: Риск. Устойчивое развитие
- •Введение
- •Некоторые принципы управления риском.
- •Дополнительные принципы.
- •Литература:
- •Формальные средства защиты
- •Неформальные средства защиты
- •32 Оптимальные задачи зи. Постановка задачи. Классификация методов принятия решения в зи
- •Аналитические методы :
- •Доп. Литература:
- •Оптимальные задачи защиты информации
- •33 Формальные методы принятия решений. Многокритериальная оптимизация. Многокритериальные задачи оптимизации.
- •Безусловный критерий предпочтения (бчп) —
- •34 Неформальные методы принятия решений в сзи. Метод экспертных оценок. Нечеткая логика Формальные и неформальные методы анализа сзи
- •Последовательность решения задачи с помощью метода экспертных оценок
- •6.Нечеткие алгоритмы
- •Нечеткие алгоритмы принятия решений в системах зи
- •1.Классические алгоритмы принятия решений основаны на правилах “если–то”
- •3.Нечеткое множество
- •4 Лингвистическая переменная
- •5 Операции с нечеткими множествами
- •6 Нечеткий алгоритм
- •Другой метод построения функции принадлежности выходного нечеткого множества:
- •Литература:
- •9 Система принятия решений на основе нечеткой логики:
- •8 Правила принятия решений в динамических ситуациях.
- •7 Механизм логического вывода. Метод max — min.
- •Информационное оружие. Информационные войны
- •Литература:
- •Мнение официальных лиц:
- •Модели общей оценки угроз информации
19,23,25 Язык описания политик безопасности
Корт С. С, Боковенко И. Н.
СЦЗИ СПбГТУ
В данной статье рассматривается язык описания политик безопасности, позволяющий на базе логики предикатов составлять спецификации авторизации. В данной статье также исследуется выразительность силы языка описания политик безопасности, т.е. возможность удобного и корректного описания различных классов моделей безопасности на данном языке. В данном случае с его помощью будут описаны следующие мандатные модели безопасности: Белла и Лападулла, Белла и Лападулла с доверенными субъектами, Биба, Биба с понижением уровней субъектов или объектов.
Спецификация авторизации является набором предикатных правил, определяющих правила доступа субъектов к объектам системы для текущего состояния системы. В языке описания политик безопасности правила доступа определяются как отображение четверки (объект, субъект, роль, действие) во множество {авторизован, запрещен}. С точки зрения правил написания спецификации политики безопасности можно классифицировать как:
закрытые политики безопасности — все разрешенные виды доступа должны быть специфицированы;
открытые политики безопасности — все запрещенные виды доступа должны быть специфицированы;
гибридные политики безопасности;
гибридные политики безопасности с разрешенными противоречиями.
Важной характеристикой спецификации авторизации является ее корректность. Спецификация авторизации является корректной, если она непротиворечива и полна. Под непротиворечивостью спецификации понимается наличие только одного решающего правила для каждого доступа (доступ не может быть одновременно разрешен и запрещен). Под полнотой спецификации понимается существование правила для каждого доступа, запрещающего или разрешающего его. Если для некоторого доступа не определена авторизация, должно присутствовать разрешающее правило-умолчание.
Язык описания политик безопасности состоит из следующих компонентов:
1. Множества.
1.1. объектов. Obj — множество объектов. Объекты могут быть сгруппированы по типам Т (types).
1.2. субъектов, которым может быть предоставлен доступ:
1.2.1. U — пользователи — отдельные пользователи, работающие с системой;
1.2.2. G — группы — множества пользователей. Субъект s является членом группы G непосредственно, если он определен как член группы G, и косвенно, если существует последовательность s1, s2, … ,sn, n > 1, так что si непосредственный член si+1 для i=1, .... n-1. Единственным ограничением на членство в группе является ацикличность, т.е. если si член sj, то sj, не может быть членом si.
1.2.3. R — роли — именованные списки привилегий, необходимые для работы в системе. Роль есть именованный список привилегий, необходимых для выполнения некоторых обязанностей в системе. Также как и группы, роли могут быть организованы в иерархию.
1.2.4. Основное отличие между группами н ролями в том, что последние могут быть активированы и деактивированы пользователями по их желанию, тогда как ограничения, накладываемые группами, применяются всегда.
1.3. действии А субъектов над объектами, и множество знаковых авторизованных типов SА =
2.Отношения над множествами субъектов и объектов — предикаты:
2.1. Иерархического членства субъектов и объектов:
dirin и in Аргументы — переменные субъектов, s1 и s2 Отражают концепцию прямого н
косвенного членства.
typeof. Аргументы — переменные объекта o и типа t. Отражает группирование объектов.
2.2. Доступа субъектов к объектам:
done. Первый аргумент данного предиката — переменная объекта, второй — субъекта, третий — множество ролей, четвертый — знаковая авторизация, а пятый — натуральное число. Представляет доступы, выполненные субъектом.
cando Первый аргумент данного предиката — переменная объекта, второй — субъекта, а третий — знаковая авторизация. Данный предикат определяется офицером безопасности системы.
do. Аргументы данного предиката такие же, как у предиката саndo. Представляет авторизацию, которую имеет каждый субъект для каждого объекта. Реализует политику разрешения конфликтов.
dorcando. Аргументы данного предиката такие же, как у предиката cando. Представляет авторизацию, определяемую системой с использованием логических правил.
grant. Первый аргумент данного предиката — переменная объекта, второй — субъекта, третий — множество ролей, а четвертый — знаковая авторизация. Представляет разрешенные или запрещенные доступы для каждого субъекта к каждому объекту. Реализует политику контроля доступа.
2.3. Роли субъектов
active. Первый аргумент данного предиката — переменная субъекта, второй — роль. Отражает концепцию активной роли.
2.4. Конфликтов спецификации авторизации
error. Аргументы отсутствуют. Отражает ошибки в спецификации и использовании авторизации.
Если p — описанный выше предикатный символ с корректным количеством и типом переменных
t1,...,tn то р(t1,...,tn) есть атом. Литеры отображают атомы или их отрицание. Например: cando(OT, ST, SAT) и -cando(ОТ, 5Т, 5АТ) являются литерами.
3. Правила, составляющие спецификацию политики безопасности (авторизации).
Правило представляет собой импликацию некоторой ( возможно, пустой ) булевой формулы от литералов, определенных языком, к некоторому предикату, также определенному языком. Язык задает типы и структуру правил, на основе которой составляется конкретный набор правил, специфицирующий конкретную политику безопасности.
В описываемом языке определены следующие правила:
3.1. Осуществленное действие.
done(о, s, R, a, t) <— .
где o, s, R, a, t — элементы Obj,U, 2R, A и IN соответственно. Правило done является свершившимся фактом, и, как следствие, тело его пусто. Правило done определяется системой при выполнении доступа. Если done(o, s, R, a, t) — истинно, то пользователь s с ролью R осуществил действие а над объектом о во время t. Данное правило полезно для политик безопасности, в которых решение о предоставлении доступа для пользователя базируется на его предыдущих действиях.
3.2. Авторизация.
Правила, задающие начальное состояние системы:
cando (о, s, <sign> a) <— L1 &L2...&Ln
где о, s, а, — элементы ObjU G R A соответственно, n 0, <sign> = {+,-}, и для каждого 0 < i < n, Li есть in или dirin или typeof литерал. Правила авторизации задаются администратором для разрешения или запрещения доступа. Литерал в правой части задаст условия, которые должны быть верифицированы для выполнения авторизации.
Производные правила:
dorcando(o, s, <sign> a) L1 &L2...&Ln
где о, s, а, — элементы ObjU G R A соответственно, n 0, <sign> = {+, -}, и для каждого 0 < i < n, Li do, cando, done, in, dirin или typeof литерал. Все dorcando литералы в теле правила должны быть позитивными.
Правила разрешения конфликтов авторизации:
do(o, s, <sign> a) L1 &L2...&Ln
где о, s, а, — элементы ObjU G R A соответственно, n 0, <sign> = {+, -}, и для каждого 0 < i < n, Li cando, dorcando, done, in, dirin или typeof литерал. Все dorcando литералы в теле правила должны быть позитивными. Разрешающее правило разрешает или запрещает доступ субъекту системы. Данное правило используется в случае, если правила cando и dorcando не дают положительной или отрицательной авторизации. В этом случае правило do задает принудительную авторизацию или авторизацию по умолчанию.
Правила контроля доступа:
grant(o, u, rs, <sign> a) L1 &L2...&Ln,
где для каждого 0 < i < n, Li, cando, dorcando, done, do, in, dirin или typeof литерал. Если grant(o, u, R, +a) — истинно, то пользователь и с активной ролью R может выполнить действие а над объектом о. Аналогично, если grant(o, u, R, +a) — истинно, то действие запрещено.
3.3. Правило целостности.
errorOL1 &L2...&Ln.
где для каждого 0 < i < n, Li grant, cando, dorcando, done, do, in, dirin или typeof литерал. При добавлении нового правила r вычисляется правая часть правила, и r принимается только, если в результате обработки правила не генерируется ошибка. Данное правило является специфическим для приложения. В общем случае правило целостности говорит о том, что ни один из субъектов не может иметь доступ и отсутствие доступа к объекту.
С использованием описанного языка авторизации закрытые (открытые) политики безопасности могут быть специфицированы с использованием только положительных (отрицательных) авторизации.
Определив язык описания политик безопасности, перейдем к рассмотрению распространения правил авторизации по иерархии субъектов, т.е. как авторизация передается от субъекта к субъекту, если они связаны в иерархии пользователей. При этом существуют две проблемы
Порождение (правила, регулирующие распространение прав доступа вдоль иерархии субъектов). Для решения этой проблемы могут быть применены следующие подходы:
запрет распространения прав доступа для потомков;
запрет перекрытия — все авторизации распространяются, не считаясь с конфликтами;
перекрытие субъектами-потомками — авторизация для субъекта s перекрывает авторизацию для супер-субъекта s";
перекрытие путей — авторизация, специфицированная для субъекта s, перекрывает конфликтную авторизацию для супер-субъекта s только для путей, проходящих через s. Перекрытие не имеет эффекта для других путей.
Разрешение конфликтов (правила, определяющие авторизацию, в случае наличия конфликтной авторизации). Существует четыре подхода к решению данной задачи:
запрет конфликтов — наличие конфликта рассматривается как ошибка;
запрет имеет преимущество — запрет доступа реализуется преимущественно над его разрешением;
разрешение имеет преимущество — разрешение доступа реализуется преимущественно над его запретом;
отсутствие преимущества — ничто не имеет первенства, окончательный результат не имеет решения.
После того, как мы рассмотрели язык описания политик безопасности, приступим теперь к исследованию выразительной силы предлагаемого языка на примере мандатных моделей безопасности. Поскольку политики безопасности для данных моделей являются открытыми, то все используемые правила авторизации будут отрицательными. Исключения могут составлять правила разрешения конфликтов (которые не имеют непосредственного отношения к модели безопасности), и специфические правила (в нашем случае это будет правило доопределения уровня объекта — некоторый отход от классической модели мандатного доступа).
Существует ряд моментов, которые следует отметить перед непосредственным описанием политик безопасности:
Поскольку в описываемых моделях роли отсутствуют, предикат grant не используется.
В связи со спецификой (простотой) описываемых моделей политика разрешения конфликтов “фильтрует” только начальное состояния системы, т.к. легко доказать, что любое последующее состояние не будет содержать конфликтных авторизации.
По этой же причине (простота описываемых моделей) предикат error не используется.
В целях более детального исследования выразительной силы языка был произведен некоторый отход от классических мандатных моделей безопасности. Он заключается в том, что объекту присваивается не конкретный уровень безопасности, а диапазон уровней, который вычисляется системой через уровни и права субъектов, имеющих к нему доступ.
Для всех моделей введем общие положения, касающиеся алфавита языка описания авторизации:
giG i Z |
Существуют группы пользователей gш, принадлежащие множеству групп пользователей G |
gi-1 gi i Z |
Иерархия групп пользователей, а значит и субъектов, определяется включением одной группы в другую. |
oObj;sSubj;sG;oG |
Субъекты могут принадлежать к какой-либо группе gi, объекты не имеют принадлежности к группам, иерархия объектов косвенно определяется через иерархию субъектов(см. правила авторизации. |
r, w A ==>+r,-r,+w, -w SA |
Существуют права чтения и записи, принадлежащие множеству знаковой авторизации. |
a = r v w |
Для удобства "а" означает чтение или запись |
Операция create (создание объекта субъектом) в данных моделях может рассматриваться как одновременное чтение и запись объекта субъектом.
Рассмотрим общую схему построения набора предикатных правил, составляющих спецификаций авторизации рассматриваемых моделей безопасности:
Начальное состояние системы задается предикатами cando и предикатами вида
in(s,g) (принадлежностью субъектов группам gi). Начальное состояние задает администратор.
Политика разрешения конфликтов реализуется с помощью предикатов do конструкциями вида
Y X1 ^ Х2^ Х3^,...,где Y — предикат do(...),
а Xi, предикат cando(...), cando(...), in(...), in(...),dirin(...), dirin(...)
Т.е. на наличие конфликтов проверяется начальное состояние системы.
Собственно правила функционирования модели задаются с помощью предикатов dorcando конструкциями вида
Y X1^ Х2^ Х3^..., где Y-предикат dorcando(...), а Xi, — предикат do(...), do(...), in(...), in(...),dirin(...), dirin(...)
Перейдем к описанию моделей безопасности на языке описания политик безопасности.